用於雲計算環境的入侵檢測系統、方法及設備的製作方法

2023-05-29 06:32:26

用於雲計算環境的入侵檢測系統、方法及設備的製作方法
【專利摘要】本發明提出了用於雲計算環境的入侵檢測系統、方法及設備。其中，所述方法包括：至少一個主機中的入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程：將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器；入侵檢測伺服器根據接收到的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。本發明所公開的用於雲計算環境的入侵檢測系統、方法及設備具有高的適配性、靈活性和擴展性並能夠進行關聯分析。
【專利說明】用於雲計算環境的入侵檢測系統、方法及設備
【技術領域】
[0001]本發明涉及入侵檢測系統、方法及設備，更具體地，涉及用於雲計算環境的入侵檢測系統、方法及設備。
【背景技術】
[0002]目前，隨著計算機和網絡應用的日益廣泛以及不同領域的業務種類的日益豐富，用於雲計算環境的入侵檢測系統、方法及設備變得越來越重要。
[0003]在雲計算環境的常見模式中，通過虛擬化技術將數據中心的伺服器、存儲器、網絡等資源抽象成邏輯的虛擬資源池，並通過網絡傳遞給用戶，從而實現資源的有效利用，例如，最常見的形式是將資源分配為不同的虛擬機以供用戶使用。
[0004]然而，現有的用於雲計算環境的入侵檢測系統及方法存在如下問題:(1)用戶身份的多樣化導致用戶不是完全可信，即可能成為潛在的入侵者；(2)單個虛擬機的安全無法得到保障；(3)虛擬機的集中式管理導致安全漏洞集中出現，即如果單個虛擬機被黑客控制則可能導致多個虛擬機被集體入侵；(4)由於入侵事件僅發生在由虛擬機構成的內網之中，故邊界的網絡防護不具有針對入侵事件的安全防護功能。
[0005]因此，存在如下需求:提供具有高的適配性、靈活性和擴展性並能夠進行關聯分析的針對雲計算環境中的主機(包括虛擬主機)的入侵檢測系統、方法及設備。

【發明內容】

[0006]為了解決上述現有技術方案所存在的問題，本發明提出了具有高的適配性、靈活性和擴展性並能夠進行關聯分析的針對雲計算環境中的主機(包括虛擬主機)的入侵檢測系統、方法及設備。
[0007]本發明的目的是通過以下技術方案實現的:
一種用於雲計算環境的入侵檢測系統，所述用於雲計算環境的入侵檢測系統包括:
至少一個主機，所述至少一個主機中的每個包括入侵檢測客戶端，所述入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器；
入侵檢測伺服器，所述入侵檢測伺服器根據接收到的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
[0008]在上面所公開的方案中，優選地，所述至少一個主機是雲計算環境中的主機。
[0009]在上面所公開的方案中，優選地，當發生與安全性相關的嚴重事件時，所述入侵檢測客戶端構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，其中，所述事件響應請求包含該嚴重事件的信息。
[0010]在上面所公開的方案中，優選地，所述入侵檢測伺服器進一步包括: 關聯分析模塊，所述關聯分析模塊接收所述至少一個主機發送來的主機事件並執行關聯分析操作，以及根據分析結果生成相關的告警指令，並將所述告警指令傳送到告警模塊；
告警模塊，所述告警模塊基於所述告警指令執行告警操作；
響應請求處理模塊，所述響應請求處理模塊接收並分析所述事件響應請求，並基於分析結果觸發響應機制以響應所述事件響應請求對應的嚴重事件；
規則管理模塊，所述規則管理模塊管理和維護入侵檢測規則，其中，所述入侵檢測規則包括監控規則和關聯分析規則；
主機管理模塊，所述主機管理模塊管理和維護所述至少一個主機的狀態信息，以及對所述至少一個主機進行分類並基於分類結果將不同類型的監控規則應用到對應的主機；用戶接口，所述用戶接口接收並轉發來自用戶的管理指令以執行相關的管理操作，所述管理指令包括針對所述入侵檢測規則的配置指令。
[0011]在上面所公開的方案中，優選地，所述入侵檢測客戶端周期性地將監控規則更新請求傳送到所述入侵檢測伺服器以更新所使用的監控規則，其中，所述監控規則更新請求包含當前使用的監控規則的信息。
[0012]在上面所公開的方案中，優選地，所述入侵檢測伺服器基於接收到的監控規則更新請求將最新的監控規則傳送回對應的入侵檢測客戶端以更新該入侵檢測客戶端所使用的監控規則。
[0013]在上面所公開的方案中，優選地,所述響應機制包括手動的響應所述事件響應請求或者驅動對應的入侵檢測客戶端自動地執行針對所述事件響應請求的響應操作。
[0014]在上面所公開的方案中，優選地，所述主機事件至少包括日誌事件、文件事件、帳號事件和註冊表改動事件，並且每個主機事件包括事件標識符、分類標識符、源地址、目的地址、源埠、目的埠以及時間。
[0015]在上面所公開的方案中，優選地，所述入侵檢測客戶端進一步包括日誌監控單元、文件監控單元、帳號監控單元、惡意軟體檢查單元和註冊表監控單元，其中，所述惡意軟體檢查單元周期性地檢查是否存在惡意軟體，並且如果發現存在惡意軟體，則執行相應的處理過程，並且其中，所述監控規則至少包括日誌監控規則、文件檢查規則、帳號事件規則和註冊表監控規則。
[0016]在上面所公開的方案中，優選地，所述日誌監控單元周期性地執行如下日誌監控操作:(I)讀取日誌監控規則，所述日誌監控規則指定了所有需要監控的日誌文件路徑；(2 )收集所述日誌監控規則所指定的日誌；(3 )根據所述日誌監控規則中的日誌解碼規則提取所收集的日誌中的日誌事件；(4)根據所述日誌監控規則中的日誌事件規則對每個日誌事件進行分析和判斷，並且如果所述日誌事件與所述日誌事件規則不匹配，則丟棄所述日誌事件，而如果所述日誌事件與所述日誌事件規則相匹配，則判斷所述日誌事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將所述日誌事件傳送到所述入侵檢測伺服器。
[0017]在上面所公開的方案中，優選地，所述文件監控單元周期性地執行如下文件監控操作:(I)從文件檢查規則中讀取需要檢查的文件目錄；(2)基於所述文件目錄檢查每個對應的文件，以獲取該文件的權限和該文件的哈希值；(3)將當前文件檢查的結果與上次文件檢查的結果相比較，以找出有變化的文件，並隨之生成相應的文件事件且將所述文件事件傳送到所述入侵檢測伺服器，以及將當前文件檢查的結果存儲並歸檔。
[0018]在上面所公開的方案中，優選地，所述帳號監控單元周期性地執行如下帳號監控操作:(I)將所述日誌監控操作所得到的每個日誌事件和/或所述文件監控操作所得到的每個文件事件與帳號事件規則相比較，並且如果與帳號事件規則不匹配，則丟棄該日誌事件和/或文件事件，而如果與帳號事件規則不匹配，則判斷該日誌事件和/或文件事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將與該日誌事件和/或文件事件相關聯的帳號事件傳送到所述入侵檢測伺服器。
[0019]在上面所公開的方案中，優選地，所述註冊表監控單元周期性地執行如下註冊表監控操作:(I)實時地監控註冊表改動事件；(2)在發生註冊表改動事件時，將該註冊表改動事件與註冊表監控規則相比較，如果該註冊表改動事件與註冊表監控規則不匹配，則丟棄該註冊表改動事件，而如果該註冊表改動事件與註冊表監控規則相匹配，則判斷該註冊表改動事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將該註冊表改動事件傳送到所述入侵檢測伺服器。
[0020]在上面所公開的方案中，優選地，所述關聯分析模塊以如下方式執行所述關聯分析操作:(I)實時地收集所述至少一個主機傳送來的主機事件；(2)對所收集的主機事件的事件標識符、分類標識符、源地址和目標地址參數進行頻率計數；(3)將所收集的主機事件的所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相比較，如果所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相匹配，則生成對應的新的威脅事件，並構造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊以執行告警操作；(4)重置命中關聯分析規則的主機事件的頻率數據，以開始重新計數，而在預定的時間閾值之後將未命中關聯分析規則的主機事件的頻率數據重置，以開始重新計數。
[0021]本發明的目的也可以通過以下技術方案實現:
一種包含入侵檢測客戶端的主機，其中，所述入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，以執行後續的入侵檢測過程。
[0022]本發明的目的也可以通過以下技術方案實現:
一種用於雲計算環境的入侵檢測伺服器，所述入侵檢測伺服器根據接收到的來自至少一個主機的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
[0023]本發明的目的也可以通過以下技術方案實現:
一種用於雲計算環境的入侵檢測方法，所述方法包括下列步驟:
(Al)至少一個主機中的入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器；
(A2)所述入侵檢測伺服器根據接收到的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
[0024]本發明所公開的用於雲計算環境的入侵檢測系統、方法及設備具有以下優點:
(1)具有高的適配性，即可以適用於包含運行各種類型的作業系統的主機的雲計算環境；
(2)具有高的配置靈活性，即可以靈活配置和部署監控規則和關聯分析規則；(3)由於實現了針對入侵事件的關聯分析，故具有增強的安全性。
【專利附圖】

【附圖說明】
[0025]結合附圖，本發明的技術特徵以及優點將會被本領域技術人員更好地理解，其中:
圖1是根據本發明的實施例的用於雲計算環境的入侵檢測系統的示意性結構圖；
圖2是根據本發明的實施例的用於雲計算環境的入侵檢測方法的流程圖。
【具體實施方式】
[0026]圖1是根據本發明的實施例的用於雲計算環境的入侵檢測系統的示意性結構圖。如圖1所示，本發明所公開的用於雲計算環境的入侵檢測系統包括至少一個主機I以及入侵檢測伺服器2。其中，所述至少一個主機I中的每個包括入侵檢測客戶端3，所述入侵檢測客戶端3監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器2，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2。所述入侵檢測伺服器2根據接收到的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
[0027]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述至少一個主機I是雲計算環境中的主機(包括實體主機和/或虛擬主機)。
[0028]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，當發生與安全性相關的嚴重事件時，所述入侵檢測客戶端3構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，其中，所述事件響應請求包含該嚴重事件的信息。
[0029]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述入侵檢測伺服器2進一步包括響應請求處理模塊4、關聯分析模塊5、告警模塊6、主機管理模塊7、規則管理模塊8和用戶接口 9。其中，所述關聯分析模塊5接收所述至少一個主機I發送來的主機事件並執行關聯分析操作，以及根據分析結果生成相關的告警指令，並將所述告警指令傳送到告警模塊6。所述告警模塊6基於所述告警指令執行告警操作。所述響應請求處理模塊4接收並分析所述事件響應請求，並基於分析結果觸發響應機制以響應所述事件響應請求對應的嚴重事件。所述規則管理模塊8管理和維護入侵檢測規則，其中，所述入侵檢測規則包括監控規則和關聯分析規則。所述主機管理模塊7管理和維護所述至少一個主機I的狀態信息，以及對所述至少一個主機I進行分類並基於分類結果將不同類型的監控規則應用到對應的主機。所述用戶接口 9接收並轉發來自用戶(例如入侵檢測系統的操作者和/或管理者)的管理指令以執行相關的管理操作，所述管理指令包括針對所述入侵檢測規則的配置指令。
[0030]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述入侵檢測客戶端3周期性地(示例性地，每隔5分鐘)將監控規則更新請求傳送到所述入侵檢測伺服器2以更新所使用的監控規則，其中，所述監控規則更新請求包含當前使用的監控規則的信息。
[0031]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述入侵檢測伺服器2基於接收到的監控規則更新請求將最新的監控規則傳送回對應的入侵檢測客戶端3以更新該入侵檢測客戶端3所使用的監控規則。
[0032]示例性地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述告警模塊6以發送郵件或簡訊的方式執行所述告警操作。
[0033]示例性地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述響應機制包括手動的響應所述事件響應請求或者驅動對應的入侵檢測客戶端3自動地執行針對所述事件響應請求的響應操作。
[0034]示例性地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述入侵檢測客戶端3基於UDP協議將所監測到的主機事件傳送到所述入侵檢測伺服器2。
[0035]示例性地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述入侵檢測客戶端3基於HTTP SOAP協議實現與所述事件響應請求和所述監控規則更新相關聯的數據通信。
[0036]示例性地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述主機事件至少包括日誌事件、文件事件、帳號事件和註冊表改動事件，並且每個主機事件包括事件標識符、分類標識符、源地址、目的地址、源埠、目的埠以及時間。
[0037]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述入侵檢測客戶端3進一步包括日誌監控單元、文件監控單元、帳號監控單元、惡意軟體(例如Rootkit,其是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具)檢查單元和註冊表監控單元，其中，所述惡意軟體檢查單元周期性地檢查是否存在惡意軟體，並且如果發現存在惡意軟體，則執行相應的處理過程，並且其中，所述監控規則至少包括日誌監控規則、文件檢查規則、帳號事件規則和註冊表監控規則。
[0038]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述日誌監控單元周期性地執行如下日誌監控操作:(I)讀取日誌監控規則，所述日誌監控規則指定了所有需要監控的日誌文件路徑(示例性地，針對windows作業系統日誌，所述日誌監控規則定義了要監控的windows操作日誌的類別(例如系統日誌，安全日誌，應用程式日誌等等))；
(2)收集所述日誌監控規則所指定的日誌；(3)根據所述日誌監控規則中的日誌解碼規則提取所收集的日誌中的日誌事件(由於不同平臺以及不同應用的日誌格式不相同，故需要對所收集的日誌進行解碼以提取日誌事件)；(4)根據所述日誌監控規則中的日誌事件規則對每個日誌事件進行分析和判斷，並且如果所述日誌事件與所述日誌事件規則不匹配，則丟棄所述日誌事件，而如果所述日誌事件與所述日誌事件規則相匹配，則判斷所述日誌事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，如果不是，則將所述日誌事件傳送到所述入侵檢測伺服器2。
[0039]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述文件監控單元周期性地(例如每次間隔12小時)執行如下文件監控操作:(I)從文件檢查規則中讀取需要檢查的文件目錄；(2)基於所述文件目錄檢查每個對應的文件，以獲取該文件的權限和該文件的哈希(Hash)值；(3)將當前文件檢查的結果與上次文件檢查的結果相比較，以找出有變化的文件，並隨之生成相應的文件事件且將所述文件事件傳送到所述入侵檢測伺服器2，以及將當前文件檢查的結果存儲並歸檔。
[0040]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述帳號監控單元周期性地執行如下帳號監控操作:(I)將所述日誌監控操作所得到的每個日誌事件和/或所述文件監控操作所得到的每個文件事件與帳號事件規則相比較，並且如果與帳號事件規則不匹配，則丟棄該日誌事件和/或文件事件，而如果與帳號事件規則不匹配，則判斷該日誌事件和/或文件事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，如果不是，則將與該日誌事件和/或文件事件相關聯的帳號事件傳送到所述入侵檢測伺服器2(帳號監控是基於日誌監控和文件監控而實現的，因為通常系統日誌會記錄帳號的變動，同時記錄帳號信息的文件也會發生變動)。
[0041]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述註冊表監控單元周期性地執行如下註冊表監控操作:(1)實時地監控註冊表改動事件；(2)在發生註冊表改動事件時，將該註冊表改動事件與註冊表監控規則相比較，如果該註冊表改動事件與註冊表監控規則不匹配，則丟棄該註冊表改動事件，而如果該註冊表改動事件與註冊表監控規則相匹配，則判斷該註冊表改動事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，如果不是，則將該註冊表改動事件傳送到所述入侵檢測伺服器2。
[0042]優選地，在本發明所公開的用於雲計算環境的入侵檢測系統中，所述關聯分析模塊5以如下方式執行所述關聯分析操作:(I)實時地收集所述至少一個主機I傳送來的主機事件；(2)對所收集的主機事件的事件標識符、分類標識符、源地址和目標地址參數進行頻率計數；(3)將所收集的主機事件的所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相比較，如果所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相匹配，則生成對應的新的威脅事件，並構造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊6以執行告警操作；(4)重置命中關聯分析規則的主機事件的頻率數據，以開始重新計數，而在預定的時間閾值(例如20分鐘)之後將未命中關聯分析規則的主機事件的頻率數據重置，以開始重新計數。
[0043]由上可見，本發明所公開的用於雲計算環境的入侵檢測系統具有下列優點:(I)具有高的適配性，即可以適用於包含運行各種類型的作業系統的主機的雲計算環境；(2)具有高的配置靈活性，即可以靈活配置和部署監控規則和關聯分析規則；(3)由於實現了針對入侵事件的關聯分析，故具有增強的安全性。
[0044]如圖1所示，本發明公開了包含入侵檢測客戶端3的主機，所述入侵檢測客戶端3監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器2，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，以執行後續的入侵檢測過程。
[0045]優選地，本發明所公開的包含入侵檢測客戶端3的主機是雲計算環境中的主機(包括實體主機和/或虛擬主機)。
[0046]優選地，在本發明所公開的包含入侵檢測客戶端3的主機中，當發生與安全性相關的嚴重事件時，所述入侵檢測客戶端3構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，其中，所述事件響應請求包含該嚴重事件的信
肩、O
[0047]優選地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述入侵檢測客戶端3周期性地(示例性地，每隔5分鐘)將監控規則更新請求傳送到所述入侵檢測伺服器2以更新所使用的監控規則，其中，所述監控規則更新請求包含當前使用的監控規則的信息。
[0048]示例性地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述入侵檢測客戶端3基於UDP協議將所監測到的主機事件傳送到所述入侵檢測伺服器2。
[0049]示例性地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述入侵檢測客戶端3基於HTTP SOAP協議實現與所述事件響應請求和所述監控規則更新相關聯的數據通?目。
[0050]示例性地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述主機事件至少包括日誌事件、文件事 件、帳號事件和註冊表改動事件，並且每個主機事件包括事件標識符、分類標識符、源地址、目的地址、源埠、目的埠以及時間。
[0051]優選地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述入侵檢測客戶端3進一步包括日誌監控單元、文件監控單元、帳號監控單元、惡意軟體(例如Rootkit，其是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具)檢查單元和註冊表監控單元，其中，所述惡意軟體檢查單元周期性地檢查是否存在惡意軟體，並且如果發現存在惡意軟體，則執行相應的處理過程，並且其中，所述監控規則至少包括日誌監控規則、文件檢查規則、帳號事件規則和註冊表監控規則。
[0052]優選地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述日誌監控單元周期性地執行如下日誌監控操作:(1)讀取日誌監控規則，所述日誌監控規則指定了所有需要監控的日誌文件路徑(示例性地，針對windows作業系統日誌，所述日誌監控規則定義了要監控的windows操作日誌的類別(例如系統日誌，安全日誌，應用程式日誌等等))；(2)收集所述日誌監控規則所指定的日誌；(3 )根據所述日誌監控規則中的日誌解碼規則提取所收集的日誌中的日誌事件(由於不同平臺以及不同應用的日誌格式不相同，故需要對所收集的日誌進行解碼以提取日誌事件);(4)根據所述日誌監控規則中的日誌事件規則對每個日誌事件進行分析和判斷，並且如果所述日誌事件與所述日誌事件規則不匹配，則丟棄所述日誌事件，而如果所述日誌事件與所述日誌事件規則相匹配，則判斷所述日誌事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，如果不是，則將所述日誌事件傳送到所述入侵檢測伺服器2。
[0053]優選地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述文件監控單元周期性地(例如每次間隔12小時)執行如下文件監控操作:(1)從文件檢查規則中讀取需要檢查的文件目錄；(2)基於所述文件目錄檢查每個對應的文件，以獲取該文件的權限和該文件的哈希(Hash)值；(3)將當前文件檢查的結果與上次文件檢查的結果相比較，以找出有變化的文件，並隨之生成相應的文件事件且將所述文件事件傳送到所述入侵檢測伺服器2，以及將當前文件檢查的結果存儲並歸檔。
[0054]優選地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述帳號監控單元周期性地執行如下帳號監控操作:(I)將所述日誌監控操作所得到的每個日誌事件和/或所述文件監控操作所得到的每個文件事件與帳號事件規則相比較，並且如果與帳號事件規則不匹配，則丟棄該日誌事件和/或文件事件，而如果與帳號事件規則不匹配，則判斷該日誌事件和/或文件事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，如果不是，則將與該日誌事件和/或文件事件相關聯的帳號事件傳送到所述入侵檢測伺服器2 (帳號監控是基於日誌監控和文件監控而實現的，因為通常系統日誌會記錄帳號的變動，同時記錄帳號信息的文件也會發生變動)。
[0055]優選地，在本發明所公開的包含入侵檢測客戶端3的主機中，所述註冊表監控單元周期性地執行如下註冊表監控操作:(1)實時地監控註冊表改動事件；(2)在發生註冊表改動事件時，將該註冊表改動事件與註冊表監控規則相比較，如果該註冊表改動事件與註冊表監控規則不匹配，則丟棄該註冊表改動事件，而如果該註冊表改動事件與註冊表監控規則相匹配，則判斷該註冊表改動事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器2，如果不是，則將該註冊表改動事件傳送到所述入侵檢測伺服器2。
[0056]如圖1所示，本發明公開了用於雲計算環境的入侵檢測伺服器2，所述入侵檢測伺服器2根據接收到的來自至少一個主機I的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
[0057]優選地，本發明所公開的用於雲計算環境的入侵檢測伺服器2進一步包括響應請求處理模塊4、關聯分析模塊5、告警模塊6、主機管理模塊7、規則管理模塊8和用戶接口 9。其中，所述關聯分析模塊5接收所述至少一個主機I發送來的主機事件並執行關聯分析操作，以及根據分析結果生成相關的告警指令，並將所述告警指令傳送到告警模塊6。所述告警模塊6基於所述告警指令執行告警操作。所述響應請求處理模塊4接收並分析所述事件響應請求，並基於分析結果觸發響應機制以響應所述事件響應請求對應的嚴重事件。所述規則管理模塊8管理和維護入侵檢測規則，其中，所述入侵檢測規則包括監控規則和關聯分析規則。所述主機管理模塊7管理和維護所述至少一個主機I的狀態信息，以及對所述至少一個主機I進行分類並基於分類結果將不同類型的監控規則應用到對應的主機。所述用戶接口 9接收並轉發來自用戶(例如入侵檢測系統的操作者和/或管理者)的管理指令以執行相關的管理操作，所述管理指令包括針對所述入侵檢測規則的配置指令。
[0058]優選地，本發明所公開的用於雲計算環境的入侵檢測伺服器2基於接收到的來自所述至少一個主機I的監控規則更新請求將最新的監控規則傳送回對應的主機的入侵檢測客戶端3以更新該入侵檢測客戶端3所使用的監控規則。
[0059]示例性地，在本發明所公開的用於雲計算環境的入侵檢測伺服器2中，所述告警模塊6以發送郵件或簡訊的方式執行所述告警操作。
[0060]示例性地，在本發明所公開的用於雲計算環境的入侵檢測伺服器2中，所述響應機制包括手動的響應所述事件響應請求或者驅動對應的入侵檢測客戶端3自動地執行針對所述事件響應請求的響應操作。
[0061]示例性地，在本發明所公開的用於雲計算環境的入侵檢測伺服器2中，所述主機事件至少包括日誌事件、文件事件、帳號事件和註冊表改動事件，並且每個主機事件包括事件標識符、分類標識符、源地址、目的地址、源埠、目的埠以及時間。
[0062]優選地，在本發明所公開的用於雲計算環境的入侵檢測伺服器2中，所述關聯分析模塊5以如下方式執行所述關聯分析操作:(I)實時地收集所述至少一個主機I傳送來的主機事件；(2)對所收集的主機事件的事件標識符、分類標識符、源地址和目標地址參數進行頻率計數；(3)將所收集的主機事件的所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相比較，如果所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相匹配，則生成對應的新的威脅事件，並構造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊6以執行告警操作；(4)重置命中關聯分析規則的主機事件的頻率數據，以開始重新計數，而在預定的時間閾值(例如20分鐘)之後將未命中關聯分析規則的主機事件的頻率數據重置，以開始重新計數。
[0063]圖2是根據本發明的實施例的用於雲計算環境的入侵檢測方法的流程圖。如圖2所示，本發明所公開的用於雲計算環境的入侵檢測方法包括下列步驟:(Al)至少一個主機中的入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器；(A2)所述入侵檢測伺服器根據接收到的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
[0064]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述至少一個主機是雲計算環境中的主機(包括實體主機和/或虛擬主機)。
[0065]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述步驟(Al)進一步包括:當發生與安全性相關的嚴重事件時，所述入侵檢測客戶端構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，其中，所述事件響應請求包含該嚴重事件的信息。
[0066]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述步驟(A2)進一步包括:所述入侵檢測伺服器接收所述至少一個主機發送來的主機事件並執行關聯分析操作，以及根據分析結果執行相關的告警操作。
[0067]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述步驟(A2)進一步包括:所述入侵檢測伺服器接收並分析所述事件響應請求，並基於分析結果觸發響應機制以響應所述事件響應請求對應的嚴重事件。
[0068]優選地，本發明所公開的用於雲計算環境的入侵檢測方法進一步包括:所述入侵檢測伺服器管理和維護入侵檢測規則，其中，所述入侵檢測規則包括監控規則和關聯分析規則。[0069]優選地，本發明所公開的用於雲計算環境的入侵檢測方法進一步包括:所述入侵檢測伺服器管理和維護所述至少一個主機的狀態信息，以及對所述至少一個主機進行分類並基於分類結果將不同類型的監控規則應用到對應的主機。
[0070]優選地，本發明所公開的用於雲計算環境的入侵檢測方法進一步包括:所述入侵檢測伺服器接收來自用戶(例如入侵檢測系統的操作者和/或管理者)的管理指令以執行相關的管理操作，所述管理指令包括針對所述入侵檢測規則的配置指令。
[0071]優選地，本發明所公開的用於雲計算環境的入侵檢測方法進一步包括:所述入侵檢測客戶端周期性地(示例性地，每隔5分鐘)將監控規則更新請求傳送到所述入侵檢測伺服器以更新所使用的監控規則，其中，所述監控規則更新請求包含當前使用的監控規則的信息。
[0072]優選地，本發明所公開的用於雲計算環境的入侵檢測方法進一步包括:所述入侵檢測伺服器基於接收到的監控規則更新請求將最新的監控規則傳送回對應的入侵檢測客戶端以更新該入侵檢測客戶端所使用的監控規則。
[0073]示例性地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測伺服器以發送郵件或簡訊的方式執行所述告警操作。
[0074]示例性地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述響應機制包括手動的響應所述事件響應請求或者驅動對應的入侵檢測客戶端自動地執行針對所述事件響應請求的響應操作。
[0075]示例性地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測客戶端基於UDP協議將所監測到的主機事件傳送到所述入侵檢測伺服器。
[0076]示例性地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測客戶端基於HTTP SOAP協議實現與所述事件響應請求和所述監控規則更新相關聯的數據通?目。
[0077]示例性地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述主機事件至少包括日誌事件、文件事件、帳號事件和註冊表改動事件，並且每個主機事件包括事件標識符、分類標識符、源地址、目的地址、源埠、目的埠以及時間。
[0078]優選地，本發明所公開的用於雲計算環境的入侵檢測方法進一步包括:所述入侵檢測客戶端周期性地檢查是否存在惡意軟體，並且如果發現存在惡意軟體，則執行相應的處理過程。
[0079]示例性地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述監控規則至少包括日誌監控規則、文件檢查規則、帳號事件規則和註冊表監控規則。
[0080]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測客戶端以如下方式執行日誌監控操作:(I)讀取日誌監控規則，所述日誌監控規則指定了所有需要監控的日誌文件路徑(示例性地，針對windows作業系統日誌，所述日誌監控規則定義了要監控的windows操作日誌的類別(例如系統日誌，安全日誌，應用程式日誌等等))；
(2)收集所述日誌監控規則所指定的日誌；(3)根據所述日誌監控規則中的日誌解碼規則提取所收集的日誌中的日誌事件(由於不同平臺以及不同應用的日誌格式不相同，故需要對所收集的日誌進行解碼以提取日誌事件)；(4)根據所述日誌監控規則中的日誌事件規則對每個日誌事件進行分析和判斷，並且如果所述日誌事件與所述日誌事件規則不匹配，則丟棄所述日誌事件，而如果所述日誌事件與所述日誌事件規則相匹配，則判斷所述日誌事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將所述日誌事件傳送到所述入侵檢測伺服器。
[0081]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測客戶端周期性地(例如每次間隔12小時)以如下方式執行文件監控操作:(I)從文件檢查規則中讀取需要檢查的文件目錄；(2)基於所述文件目錄檢查每個對應的文件，以獲取該文件的權限和該文件的哈希(Hash)值；(3)將當前文件檢查的結果與上次文件檢查的結果相比較，以找出有變化的文件，並隨之生成相應的文件事件且將所述文件事件傳送到所述入侵檢測伺服器2，以及將當前文件檢查的結果存儲並歸檔。
[0082]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測客戶端周期性地以如下方式執行帳號監控操作:(I)將所述日誌監控操作所得到的每個日誌事件和/或所述文件監控操作所得到的每個文件事件與帳號事件規則相比較，並且如果與帳號事件規則不匹配，則丟棄該日誌事件和/或文件事件，而如果與帳號事件規則不匹配，則判斷該日誌事件和/或文件事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將與該日誌事件和/或文件事件相關聯的帳號事件傳送到所述入侵檢測伺服器(帳號監控是基於日誌監控和文件監控而實現的，因為通常系統日誌會記錄帳號的變動，同時記錄帳號信息的文件也會發生變動)。
[0083]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測客戶端周期性地以如下方式執行註冊表監控操作:(I)實時地監控註冊表改動事件；(2)在發生註冊表改動事件時，將該註冊表改動事件與註冊表監控規則相比較，如果該註冊表改動事件與註冊表監控規則不匹配，則丟棄該註冊表改動事件，而如果該註冊表改動事件與註冊表監控規則相匹配，則判斷該註冊表改動事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將該註冊表改動事件傳送到所述入侵檢測伺服器。
[0084]優選地，在本發明所公開的用於雲計算環境的入侵檢測方法中，所述入侵檢測伺服器以如下方式執行所述關聯分析操作:(1)實時地收集所述至少一個主機傳送來的主機事件；(2)對所收集的主機事件的事件標識符、分類標識符、源地址和目標地址參數進行頻率計數；(3)將所收集的主機事件的所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相比較，如果所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相匹配，則生成對應的新的威脅事件，並構造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊6以執行告警操作；(4)重置命中關聯分析規則的主機事件的頻率數據，以開始重新計數，而在預定的時間閾值(例如20分鐘)之後將未命中關聯分析規則的主機事件的頻率數據重置，以開始重新計數。
[0085]由上可見，本發明所公開的用於雲計算環境的入侵檢測方法具有下列優點:(I)具有高的適配性，即可以適用於包含運行各種類型的作業系統的主機的雲計算環境；(2)具有高的配置靈活性，即可以靈活配置和部署監控規則和關聯分析規則；(3)由於實現了針對入侵事件的關聯分析，故具有增強的安全性。
[0086]儘管本發明是通過上述的優選實施方式進行描述的，但是其實現形式並不局限於上述的實施方式。應該認識到:在不脫離本發明主旨和範圍的情況下，本領域技術人員可以對本發明做出不同的變化和修改。
【權利要求】
1.一種用於雲計算環境的入侵檢測系統，所述用於雲計算環境的入侵檢測系統包括: 至少一個主機，所述至少一個主機中的每個包括入侵檢測客戶端，所述入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器； 入侵檢測伺服器，所述入侵檢測伺服器根據接收到的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
2.根據權利要求1所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述至少一個主機是雲計算環境中的主機。
3.根據權利要求2所述的用於雲計算環境的入侵檢測系統，其特徵在於，當發生與安全性相關的嚴重事件時，所述入侵檢測客戶端構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，其中，所述事件響應請求包含該嚴重事件的信息。
4.根據權利要求3所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述入侵檢測伺服器進一步包括: 關聯分析模塊，所述關聯分析模塊接收所述至少一個主機發送來的主機事件並執行關聯分析操作，以及根據分析結果生成相關的告警指令，並將所述告警指令傳送到告警模塊； 告警模塊，所述告警模炔基於所述告警指令執行告警操作； 響應請求處理模塊，所述響應請求處理模塊接收並分析所述事件響應請求，並基於分析結果觸發響應機制以響應所述事件響應請求對應的嚴重事件； 規則管理模塊，所述規則管理模塊管理和維護入侵檢測規則，其中，所述入侵檢測規則包括監控規則和關聯分析規則； 主機管理模塊，所述主機管理模塊管理和維護所述至少一個主機的狀態信息，以及對所述至少一個主機進行分類並基於分類結果將不同類型的監控規則應用到對應的主機； 用戶接口，所述用戶接口接收並轉發來自用戶的管理指令以執行相關的管理操作，所述管理指令包括針對所述入侵檢測規則的配置指令。
5.根據權利要求4所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述入侵檢測客戶端周期性地將監控規則更新請求傳送到所述入侵檢測伺服器以更新所使用的監控規則，其中，所述監控規則更新請求包含當前使用的監控規則的信息。
6.根據權利要求5所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述入侵檢測伺服器基於接收到的監控規則更新請求將最新的監控規則傳送回對應的入侵檢測客戶端以更新該入侵檢測客戶端所使用的監控規則。
7.根據權利要求6所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述響應機制包括手動的響應所述事件響應請求或者驅動對應的入侵檢測客戶端自動地執行針對所述事件響應請求的響應操作。
8.根據權利要求7所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述主機事件至少包括日誌事件、文件事件、帳號事件和註冊表改動事件，並且每個主機事件包括事件標識符、分類標識符、源地址、目的地址、源埠、目的埠以及時間。
9.根據權利要求8所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述入侵檢測客戶端進一步包括日誌監控單元、文件監控單元、帳號監控單元、惡意軟體檢查單元和註冊表監控單元，其中，所述惡意軟體檢查單元周期性地檢查是否存在惡意軟體，並且如果發現存在惡意軟體，則執行相應的處理過程，並且其中，所述監控規則至少包括日誌監控規則、文件檢查規則、帳號事件規則和註冊表監控規則。
10.根據權利要求9所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述日誌監控單元周期性地執行如下日誌監控操作:(1)讀取日誌監控規則，所述日誌監控規則指定了所有需要監控的日誌文件路徑；(2)收集所述日誌監控規則所指定的日誌；(3)根據所述日誌監控規則中的日誌解碼規則提取所收集的日誌中的日誌事件；(4)根據所述日誌監控規則中的日誌事件規則對每個日誌事件進行分析和判斷，並且如果所述日誌事件與所述日誌事件規則不匹配，則丟棄所述日誌事件，而如果所述日誌事件與所述日誌事件規則相匹配，則判斷所述日誌事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將所述日誌事件傳送到所述入 侵檢測伺服器。
11.根據權利要求10所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述文件監控單元周期性地執行如下文件監控操作:(I)從文件檢查規則中讀取需要檢查的文件目錄；(2)基於所述文件目錄檢查每個對應的文件，以獲取該文件的權限和該文件的哈希值；(3)將當前文件檢查的結果與上次文件檢查的結果相比較，以找出有變化的文件，並隨之生成相應的文件事件且將所述文件事件傳送到所述入侵檢測伺服器，以及將當前文件檢查的結果存儲並歸檔。
12.根據權利要求11所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述帳號監控單元周期性地執行如下帳號監控操作:(I)將所述日誌監控操作所得到的每個日誌事件和/或所述文件監控操作所得到的每個文件事件與帳號事件規則相比較，並且如果與帳號事件規則不匹配，則丟棄該日誌事件和/或文件事件，而如果與帳號事件規則不匹配，則判斷該日誌事件和/或文件事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將與該日誌事件和/或文件事件相關聯的帳號事件傳送到所述入侵檢測伺服器。
13.根據權利要求12所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述註冊表監控單元周期性地執行如下註冊表監控操作:(I)實時地監控註冊表改動事件；(2)在發生註冊表改動事件時，將該註冊表改動事件與註冊表監控規則相比較，如果該註冊表改動事件與註冊表監控規則不匹配，則丟棄該註冊表改動事件，而如果該註冊表改動事件與註冊表監控規則相匹配，則判斷該註冊表改動事件是否是需要發起事件響應請求的嚴重事件，如果是，則構造對應於該嚴重事件的事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，如果不是，則將該註冊表改動事件傳送到所述入侵檢測伺服器。
14.根據權利要求13所述的用於雲計算環境的入侵檢測系統，其特徵在於，所述關聯分析模塊以如下方式執行所述關聯分析操作:(I)實時地收集所述至少一個主機傳送來的主機事件；(2)對所收集的主機事件的事件標識符、分類標識符、源地址和目標地址參數進行頻率計數；(3)將所收集的主機事件的所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相比較，如果所述事件標識符、分類標識符、源地址、目標地址參數以及相關聯的頻率參數與關聯分析規則相匹配，則生成對應的新的威脅事件，並構造包含所述新的威脅事件的告警指令且將所述告警指令傳送到告警模塊以執行告警操作；(4)重置命中關聯分析規則的主機事件的頻率數據，以開始重新計數，而在預定的時間閾值之後將未命中關聯分析規則的主機事件的頻率數據重置，以開始重新計數。
15.一種包含入侵檢測客戶端的主機，其中，所述入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器，以執行後續的入侵檢測過程。
16.一種用於雲計算環境的入侵檢測伺服器，所述入侵檢測伺服器根據接收到的來自至少一個主機的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測過程。
17.一種用於雲計算環境的入侵檢測方法，所述方法包括下列步驟: (Al)至少一個主機中的入侵檢測客戶端監控其駐留於其上的主機的預定類型的主機事件，並基於預定的監控規則執行下列操作以實施相關的入侵檢測過程:將所監測到的主機事件傳送到入侵檢測伺服器，或者基於所監測到的主機事件構造事件響應請求並將所述事件響應請求傳送到所述入侵檢測伺服器； (A2)所述入侵檢測伺服器根據接收到的主機事件或事件響應請求並基於預定的入侵檢測規則執行入侵檢測 過程。
【文檔編號】H04L29/06GK104038466SQ201310068974
【公開日】2014年9月10日 申請日期:2013年3月5日 優先權日:2013年3月5日
【發明者】王明博, 魯志軍, 何朔, 華錦芝 申請人:中國銀聯股份有限公司